SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

AI 风险管理和 AI 风险管理框架

AI 风险管理是你每天在做的事——识别风险、评估影响、制定对策。AI 风险管理框架是一套别人写好的方法论和标准,告诉你应该按什么步骤做、覆盖哪些维度。你自己管得再好,投标时客户要看的可能是你有没有按某个框架对齐过。

寓言

自己看路和拿着地图走

老韩做建筑施工二十年了,不用图纸也能估出地基深度、墙体承重和排水坡度。他的经验就是他的「风险管理体系」——哪里容易塌方、哪里会积水、哪种材料在梅雨季会膨胀,他心里有一本账。二十年没出过大事。

市里新建了一批公共建筑,招标条件里加了一条:投标方必须提交基于国家建筑安全标准的风险评估报告,逐项对照标准条款,标注符合情况。老韩拿着招标书愣了半天——他当然知道怎么保证安全,但「逐项对照标准条款」这一条他不知道从哪下手。

老韩的儿子学工程管理出身,帮他把国家的安全标准规程打印出来,一共七十八页。儿子说:爹,您做的那些安全检查,其实大部分都对应着标准里的条款,只是您是凭经验在做,没有写成对照表。比如您每次下雨后检查排水沟,对应标准第三章第七条「强降水后必须检查排水系统」。您每次进材料都看厂家合格证,对应标准第五章第十二条「材料进场验证」。

老韩花了三天把二十年的经验逐条映射到标准条款上。他发现大部分他都在做,只是没记录、没编号、没形成可审计的文件。有三条标准他确实没覆盖到——比如「施工机械的定期第三方检测报告」——他补上了。

投标那天,别的公司交的是泛泛的「我们重视安全」承诺书,老韩交的是一百二十页的逐项对照报告,每个标准条款后面都附了实际执行记录和照片。评审组一致给了最高分。

中标之后老韩跟儿子说:我再有经验,也得拿一张别人能看懂的地图出来。我自己看路不会摔倒,但招标方要看的是按标准走过一遍的证据。儿子说:您自己那套是风险管理实践,标准规程是风险管理框架,后者是把前者的过程变成别人能审计的东西。

后来老韩的公司在内部立了一条规矩:每半年拿着行业最新的安全框架,把日常做法重新对一遍。做法本身没变,变的是记录方式。老韩管这叫「经验上架」。

同行的老包跟老韩喝酒,抱怨说现在投标越来越麻烦。老韩说:你的活干得比我好,但你交的东西里少了一张对照表——把你干了什么,翻译成评审能看懂的框架语言。

AI 风险管理

组织在 AI 系统生命周期中持续进行的风险识别、评估、缓解和监控活动。它是实际的管理行为,不依赖于某一特定标准的形式。

AI 风险管理框架 (AI RMF)

一套结构化的方法论和标准(如 NIST AI RMF),定义了 AI 风险管理的维度、步骤、角色和文档要求。它提供的是模板和对照基准,帮助组织将实践系统化、可审计化。

故事对应

  • 老韩二十年经验:组织内实际运行的风险管理实践。
  • 国家建筑安全标准:风险管理框架——结构化的方法论和对照标准。
  • 儿子帮老韩逐条映射:把实践经验对齐到框架条款的过程。
  • 补上的三条:框架帮助发现实践中的盲区。
  • 一百二十页对照报告:框架化后的可审计证据。
  • 「经验上架」:定期用框架审查实践,保持对标。

落到项目里

不管你有没有在实际做 AI 风险管理,先把 NIST AI RMF 或 ISO 42001 的条款清单打印出来,逐条问自己:这件事我们在做吗?有记录吗?能证明吗?回答不出来的条目就是你的风险盲区,也是客户审计时最容易扣分的地方。框架的价值在于把已经做了的事整理成可交付、可审计的信任。